Am Puls von Microsoft

Search Nightmare: Weitere Protokoll-Sicherheitslücke in Windows?

Search Nightmare: Weitere Protokoll-Sicherheitslücke in Windows?

In dieser Woche hat Microsoft vor einer bislang noch ungepatchten Sicherheitslücke in Windows gewarnt, die verschiedenen Meldungen zufolge bereits aktiv ausgenutzt wird. Nun zeichnet sich ab, dass es eventuell noch eine weitere Schwachstelle gibt, die ganz ähnlich gestrickt ist.

Die von Microsoft dokumentierte Schwachstelle betrifft das zum Microsoft Support Diagnostic Tool (MSDT) gehörige URI-Protokoll. Der einzige Workaround, der aktuell zumindest teilweise vor einem Angriff schützt, ist die Deaktivierung des entsprechenden Protokolls.

Beim Kollegen Günter Born bin ich nun auf die Meldung gestoßen, dass es möglicherweise noch eine weitere Sicherheitslücke in einem URI-Protokoll gibt, die von den Entdeckern mit dem schönen Titel „Search Nightmare“ versehen wurde. Auch hier handelt es sich um eine Anfälligkeit in einem Protokoll, nämlich in „ms-search“. Darüber wird die interne Suchfunktion von Windows getriggert.

Durch eine Kombination mit der Angriffsmethode aus der MSDT-Schwachstelle könnte so beispielsweise das Öffnen eines Word-Dokuments ausreichen, um eine Suche zu starten und den Nutzer auf eine Netzwerkfreigabe umzuleiten, von wo aus er animiert werden könnte, weitere Dateien auszuführen.

Bei Bleeping Computer findet sich eine Zusammenfassung mit einem recht ausführlichen Proof-of-Concept. Soweit ich das überblicken kann, kann ohne „aktive Mitarbeit“ des angemeldeten Benutzers aber kein erfolgreicher Angriff stattfinden. In der Vergangenheit hat Microsoft derartige Angriffsmethoden nicht als hochkritisch betrachtet, in diesem Fall wird man aber wohl noch weitere Erkenntnisse abwarten müssen.

Der empfohlene Workaround ist der gleiche wie bei der MSDT-Schwachstelle: Man kann das ms-search Protokoll deaktivieren, indem man die folgenden Befehle an einer administrativen Kommandozeile absetzt:

“reg delete HKEY_CLASSES_ROOT\search-ms /f”

Mit dem Befehl

“reg export HKEY_CLASSES_ROOT\search-ms dateiname“ kann man zuvor ein Backup des gelöschten Registry-Eintrags anlegen, der mit „reg import dateiname“, bei Bedarf wiederhergestellt werden kann.

Zum jetzigen Zeitpunkt würde ich das allerdings in die Kategorie „mit Kanonen auf Spatzen geschossen“ einordnen. Mal sehen, ob und was Microsoft dazu sagt.

Über den Autor

Martin Geuß

Martin Geuß

Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zuhause. Seit 15 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Anzeige